简单记录一次注入到shell

0x00 前言

帮朋友之前拿的一个站,有点久了没有完整截图,简单记录一下。

0x01 基础信息

操作系统:win

集成环境:phpstudy

端口开放:82,3306,3389

有phpmyadmin

php框架:thinkphp 3

源码一套

tp开了报错,有网站绝对路径信息

0x02 尝试

拿到源码,代码审计发现了一个前台文件上传,一个后台登陆框的注入

文件上传把shell上传上去,访问报找不到控制器

猜测是被杀了或是没有创建成功

换了免杀马依旧一样,这个点暂时放弃,没弄明白。

由于源码比较简单,很多功能都在后台,只能把目光放在后台登陆框的注入了

常规思路,注出管理员账号密码登陆后台,但后台能拿shell地方也只有那一个上传了(有源码)

换思路利用phpmyadmin,直接尝试phpmyadmin弱口令root/root,登陆不进去(后续可以爆破)

通过注入发现mysql的本地用户是root,注出的密码解不出来

mysql版本为:5.5.53

phpstudy的mysql secure_priv 没改过默认就是NULL,udf啥的别想了

0x03 突破

重新回顾有的信息:

  • 一个注入,支持多语句
  • mysql外连

思考:如果可以外连上去,那么就可以尝试用general_log_file直接getshell了

通过注入修改user表允许外连的host为%,修改密码为root

但这样做需要重启mysql,但可以一试,尚有一线生机

很幸运,修改第二天再试发现可以直接连进去了

下面就是常规操作了

administror权限,直接添加了一个用户上去

最后就是3389登陆服务器了:

0x04 总结

多尝试总没错,思路要打开

posted @ 2019-08-31 11:04  水泡泡  阅读(863)  评论(0编辑  收藏